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GESTION DES VULNERABILITES 


Sodexho Pass International fait de QualysGuard son outil clé de 
supervision automatisée des vulnérabilités 


Dans le cadre de la Convention Sécurité Management qui s'est tenue les 15 et 16 juin à Paris et dont 
Sécurité Informatique est un des partenaires, Abdellah Cherkaoui, DSSI de Sodexho Pass International, est 
revenu sur le projet de déploiement de QualysGuard. Objectif : assurer une supervision automatisée de la 
gestion des vulnérabilités au sein de systèmes d'information pour le moins décentralisés. 


À l'intérieur de l'énorme groupe Sodexo, spécialiste de la restauration collective, Abdellah Cherkaoui 
occupe les fonctions de DSSI (directeur de la sécurité des systèmes d'information) pour le compte de 
Sodexho Pass International, filiale dédiée à l'activité chèques et cartes de service (voir encadré). "Notre 
entreprise est implantée internationalement et de ce fait, nous travaillons avec des systèmes totalement 
décentralisés et des infrastructures réseaux multi plates-formes, rappelle l'intéressé. Par conséquent, les 
départements en charge de la sécurité informatique sont contraints de superviser des architectures et des 
applications très hétérogènes. Nous sommes conscients de cette difficulté mais en même temps, on ne 
peut pas recréer en permanence un système d'information homogène et unifié". Pour autant, la gestion 
des vulnérabilités, s'agissant d'erreurs utilisateurs anodines ou d'attaques virales, suppose la mise en place 
d'un supervision qui, elle, doit être globale et homogène. Concrètement, en 2003 et 2004, les services 
internes de Sodexho ont multiplié les audits de vulnérabilité dans les principales filiales du groupe. 
Objectif : recenser les dysfonctionnements les plus couramment constatés dans les activités de gestion 
de chèques et cartes. 

"Un des buts de la direction générale, qui s'est fortement 


impliquée dans le projet, était de pouvoir déployer un ss 

dispositif de détection en temps réel des vulnérabilités, à Sn ten do vuinarabiités _ y 
la fois dans les couches technologiques infrastructures et intégrant la notion de gouver- 
réseaux, détaille encore A. Cherkouïi. Nous souhaitions éga- nance 


lement disposer de mises à jour automatiques du système 
de protection via Internet et recevoir régulièrement des 
tableaux de bords sur les anomalies constatées. Dès 2004, 
nous avons mené plusieurs chantiers-pilotes autour d'une 
solution Qualys". 

Comme souvent dans ce type de projet transversal, les 
résistances sont venues moins de la technologie mise en 
oeuvre que des équipes en place. "J'ai dû me battre à 
l'interne pour imposer la solution auprès des directeurs de : 
filiales qui voyaient dans l'utilisation de la solution Qualys, … Mique, en temps réel. 

une tentative de contrôle excessif. En fait, grâce à des pro- Cette nouvelle version de QualysGuard 
cédures de sensibilisation et de formation, nous avons Permet aux responsables sécurité d'auditer 
responsabilisé chaque directeur informatique de zone ®t de renforcer leurs politiques de sécuri- 
puis nous avons articulé une méthode d'échange des té internes et externes, avec une solution on 
données entre le siège central et les filiales. Aujourd'hui demand, c'est-à-dire éliminant les coûts et 
ça fonctionne plutôt bien", note encore le responsable la complexité traditionnellement associés 
Sodexho. Dès la fin 2004, l'entreprise était en mesure de aux solutions logicielles d'entreprise. 
constater une réduction, jugée "significative", des vulné- Précision : les nouvelles applications seront 
rabilités en matière de sécurité informatique. Toutes les développées et intégrées automatiquement 
briques techniques, ou presque, sont supervisées : qualité àla plateforme QualysGuard chaque 
de service des bases de données, gestion des mots de  S£Maine. 


La version 4.0, lancée peu avant l'été, 
intègre désormais un kit d'applications 
visant à vérifier les politiques de sécurité de 
l’entreprise (Software Development Kit - 
SDK), un module d’autoévaluation et de 
vérification de conformité avec le pro- 
gramme Mastercard SDP ainsi que la pos- 
sibilité de créer un tableau de bord dyna- 


Copyright (Sécurité Informatique N° 225) Reproduction interdite sans autorisation QUALYS 


. Fr 


pe CUrilé „Œ " 
niormatique 


N° et date de parution : 225 - 12/07/2005 

Diffusion : 15000 

Périodicité : Bimensuel Page : 8 
SeCURITeINFORM_225_7_309.pdf Taille : 100 % 
Site Web : http://www.publi-news.fr 


passe, des pare-feux, des infrastructures réseaux et même, 
des processus d'authentification forte. 

Résultat: actuellement 25 pays bénéficient de la solution 
et ce n'est pas fini. "Pour renforcer la sécurité, toutes les 
semaines, nous scannons nos points de réseaux. Avec les 
consultants Qualys nous étudions régulièrement d'autres 
procédures de supervision utiles à déployer", détaille 
Abdellah Cherkaoui. 


Au total, Sodexho a choisi la plate-forme Qualys Guard 
pour valider l'application de politique de sécurité à l'échel- 
le mondiale, mais sans toutefois remettre en cause l'in- 
dépendance des filiales. H 


http://www.qualys.com 
bttp://www.sodhexo-ces.com 
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Poids économique du Groupe 
Sodhexo 

Le spécialiste mondial de la restauration col- 
lective totalise 11,5 Md£€ de CA avec 313.000 
employés. L'activité chèques et cartes de 
service, développée par la branche Sodexho 
Pass International, représente aujourd'hui 
4,8 Md£ de CA avec 2.730 employés, soit 
293.000 entreprises clientes et 12,9 millions 
de bénéficiaires. 


Gilles PROD'HOMME 


QUALYS 


